Есть ли такая вещь, как аппаратный зашифрованный рейдовый диск?

Не делай этого.

Я пытаюсь восстановить данные из зашифрованного RAID-массива, который вышел из строя, и мой работодатель уже стоит больше, чем ценность данных. Если вам необходимо зашифровать, либо зашифруйте отдельные диски, либо создайте зашифрованный раздел для важных вещей.

Уже один отличный ответ, но я также брошу свой ответ.

Как и в случае со всей безопасностью, это всегда сводится к тому, что приемлемо для вас. Насколько безопасна ваша система на самом деле? Все, о чем вы говорите, может быть исправлено с лучшей физической защитой, например, гораздо лучшая дверь, лучший замок и охрана.

Как только система загрузится (я предполагаю, что она иногда будет загружаться), учетная запись SYSTEM в Windows и корневая учетная запись в Linux, как правило, будут иметь полный доступ к содержимому диска независимо от шифрования, если кто-то действительно взломает систему и получит одна из этих учетных записей будет иметь доступ к данным. То, что вы действительно собираетесь предотвратить, это кто-то тянет диск и физически берет его.

Если после того, как ваша физическая безопасность будет настолько высокой, насколько вы можете себе позволить, для ваших данных потребуется (согласно политике компании, закону или договору) шифрование, вам снова нужно спросить, сколько?

• Стоит ли использовать жесткие диски с самошифрованием? Пароль защищен?
• Должен ли я использовать TPM для шифрования данных, поступающих в контроллер RAID?
• Должен ли я шифровать весь диск с помощью TrueCrypt или BitLocker?
• Мне просто нужно зашифровать несколько файлов?

• Нужно ли отключать кэш памяти на контроллере raid?

  Если вы шифруете как логический диск (с TrueCrypt), так и сам RAID, вы лишаете кого-либо возможности просто заменять незашифрованные жесткие диски и восстанавливать ключи из репозитория Windows/Linux на программной стороне. Им потребуется и то и другое.

Почему вы не использовали Raid с резервным зеркалом разницы оптоволоконных каналов аппаратно?

Да, я знаю, что это не обычное дело, но у него много преимуществ... ваш рейд - это просто рейд 0 с 6 жесткими дисками (да, зачистка), у каждого жесткого диска есть встроенная аппаратная подписка, поэтому Attacker (в автономном режиме) будет нужно угадать 6 паролей, чтобы быть правдой, я предпочитаю жесткий диск с USB-портом для ключа... слишком дорого, я знаю... питание на жестком диске нужно подключен ключ (1 гигабайт), атакующему потребуется такой 1 гигабайт, жесткий диск скопировать такой гигабайт на внутренний ОЗУ (да, на жестком диске есть кэш на 2 гигабайта, один для ключа, один для быстрого чтения / записи, он также имеет красный / зеленый диод, когда зеленым вы можете отключить USB от жесткого диска, ключ теперь находится на внутреннем жестком диске ram... с 6 из этого вы получаете аппаратное шифрование очень безопасным... атакующему нужно угадать до шести гигабайт ключей, вау! За это вы используете raid-контроллер 6 sata-iii с автоматическим дифференциальным дистанционным резервным копированием по оптоволоконному каналу... вы получаете лучшее!

Как работает? Легко: включите шесть USB-адаптеров по 1 ГБ, каждый из которых подключен к одному жесткому диску напрямую (жесткий диск имеет специальный порт для этого, нет необходимости в слабой парольной фразе из 64 символов, он использует парольную фразу всего в один гигабайт), так что есть 6 гигабайт ключа в целом, после того, как все идет на зеленый, удалите шесть USB-pendrive и поместите их в безопасное место (как банки, но в вашем здании), тогда рейд 0 (чередование) увидит шесть дисков и сделает очень быстро (около 4 ГБ / с) большой диск, на котором вы можете разместить свою ОС, теперь я говорю о защищенных данных от сбоев, нет необходимости в резервных копиях, ни в raid 6 (лучше, чем в raid 5, но и бесполезно), этот raid-контроллер, о котором я говорю, имеет оптоволокно канал подключается к разному удаленному хранилищу резервных копий, так что у вас будет такой огромный диск с зеркальным копированием, но с резервной копией исторического сектора на сектор, так что вы сможете подключить все состояние диска в любой момент, когда вам нужно, пришел дизастер, ну, просто замените жесткий диск, и сказать волоконно-оптическому каналу, чтобы увидеть состояние, которое он имел в определенную секунду определенного времени, он плохо ставлю такое состояние на новые диски.

Цена - худшая часть... контроллеры стоят около 10 тысяч фунтов стерлингов, каждый диск стоит около 2 тысяч, а объединительная плата для магазина - такая разница потребует целого здания, работающего в другом городе планеты... стоимость в месяц и гигабайт могут быть слишком большими Но опять-таки речь идет не о цене, о которой я говорю, а об обеспечении.

Ну, чтобы быть правдой, я использую только простой шифр XOR, один байт данных со своим собственным одним используемым байтом ключа, поэтому атакующий увидит длину ключа, равную длине данных, нет необходимости в алгоритмах компиляции, достаточно простого XOR чтобы сделать его более сложным, положение ключевого байта вычисляется (не равно положению байта данных) с быстрым алгоритмическим.. другими словами: Cyper[X]= обычный [X] ключ XOR [MyAlgorith(X)], с длиной ключа>= обычная длина. Это математически необходимо, чтобы быть защищенным на 101%. Если вы не знаете ключ, демострация так же проста, как эта фраза: вы можете иметь столько разных ключей, сколько возможно состояний данных. Так, если у вас есть 8GiB Pendrive, у вас будет ключ 8GiB, то есть 2^8GiB различных ключей, и у вас есть 2^8GiB возможных различных состояний данных, каждый бит данных шифруется своим собственным битом ключа, каждый бит Ключ используется только для одного бита данных. Если вы используете грубую силу, все возможные ключи представляют собой набор, равный набору возможных состояний данных, поэтому невозможно узнать, какой из них правильный. Ключ используется только для такого диска.

Также можно использовать ключ размера "lees", так как MyAlgorithm будет использовать тот же бит ключа для способа, которым атакующий не будет знать / угадывать, такой алгоритм использует часть ключа для создания XtoY-перевода, для нескольких Значения X дадут тот же Y (будьте осторожны, чтобы не использовать простую операцию мода, она должна быть более сложной), поэтому простой 8-гигабайтный ключ будет генерировать тот же набор, что и полный ключ длины жесткого диска, сложный для демонстрации, но я попробую: данный X позиция данных, какой байт ключа будет использоваться? D Положение на ключевых данных зависит от ключевых данных и таких X, но таким образом, что X+1 - это не Y+1, где X - это позиция на простых данных, а Y - это возможность на ключевых данных, что приведет к необходимости грубой силы. test Каждый байт зашифрованных данных должен быть протестирован с каждым байтом тестового ключа, поэтому в конце это будет набор с возможными состояниями размером 2^hdd. Основным является то, что у вас нет такого ключа 8GiB, поэтому вы создаете набор ключей 2^8GiB, с каждым из которых вы должны проверить дешифровку, но поскольку положение ключа, используемого для каждого байта данных, также зависит от другой парольной фразы shrot вам нужно проверять каждый байт данных с 2^(8*64) возможными позициями на ключе (длина ключа 8GiB = 2^33), поэтому на практике каждый байт данных необходимо будет проверять с каждым байтом ключа, если ключ содержит все возможные значения от 0 до 255 байт, это уменьшит тест, поэтому каждый байт должен быть XOR с каждыми 2^8 (256) возможными значениями, поэтому для каждого байта данных получено 256 возможных значений для такого байта. следовательно, математически невозможно узнать, что является хорошим, и так как этот процесс должен сопровождаться каждым байтом, вы получите грубое присоединение, которое дает 2 ^ (размер hdd) возможных простых данных, атакующий не сможет угадать любой простой байт данных.

Алгоритм работает на основе байтов, но такая идея также действительна для 512-байтовых слов (вместо 1-байтовых слов), а также для любой длины.

Следовательно, чтобы быть в безопасности, лучше всего иметь ключ огромного размера и хороший алгоритм X-Y и использовать простой XOR для шифра / дешифра.

Примечание. Резервное копирование выполняется аппаратной отправкой каждой операции записи сектора на исторический удаленный сервер хранения, поэтому вы можете получить состояние за заданную миллисекунду или дату / время... такая информация, отправленная на удаленный сервер, представляет собой реальные данные, записанные на диск., так что это зашифровано, а не просто... это как клонирование информации о жестких дисках.

Как работает этот оптоволоконный канал? просто: hdd, когда внутренне записывает данные на планшеты, отправляет копию по оптоволоконному каналу на контроллер raid, затем контроллер raid повторно отправляет эти данные по внешнему волокну в удаленную большую, очень большую систему хранения.

Как работает восстановление? Легко: контроллеры запрашивают состояние даты и времени (точное время в миллисекундах), затем удаленный сервер ищет каждую таблицу секторов жесткого диска (использует наиболее близкое состояние для такого сектора, с датой и временем равным или меньшим), что сектор отправляется контроллеру, и контроллер отправляет его обратно к hdd по волокну, затем hdd запишите его на планшеты,... после перестройки все hdds будут иметь точный клон, который он имел в эту миллисекунду.

Все это, работая с точками моментальных снимков в действительных стабильных состояниях разделов, работает вместе для создания огромной безопасной и надежной системы хранения.

Точка недели, как и все работающие системы: атаковать контакты во время работы системы, подключить посредника, с помощью отладочных USB-устройств, которые клонируют информацию о шине материнской платы, и т. Д., В то время как будет невозможно регистрировать используемые ключи (если администратор, который загружает сервер, не будет идиот) он может получать чистые данные, поступающие на материнскую плату, но поскольку этого невозможно избежать (физический доступ к материнской плате требуется для атакующего), система является такой же безопасной, как и другие слабые места (подключение к Интернету и т. д.).... смеется, но это правда: идиотский администратор загружает компьютер, увидев огромное количество стрейб-кабелей и устройств, которые были добавлены к компьютеру, как такой глупый человек загрузил его? Если вы видите, что компьютером манипулировали в автономном режиме, не загружайте его, пока вы не подтвердите, что такие манипуляции являются правильными и безопасными.

Общая стоимость рабочего проекта (для тестирования такого конфигурации): 1 миллион фунтов стерлингов в месяц, на один год рабочего испытательного проекта.

PD: я не авторизован, чтобы раскрыть имя raid-контроллера, но может быть найдено несколько тестовых (с цензурированными частями) видео на google и youtube, я не знаю, допускаются ли ссылки на этом форуме, и я не хочу, чтобы их видели как продавец.